De status van USB-schijfbeveiliging in Nederland

Vergelijkbare documenten
Security Starts With Awareness

Protocol Cameratoezicht

Informatiebeveiligingsbeleid

PROCEDURE MELDPLICHT DATALEKKEN

Verklaring bescherming persoonsgegevens Rekenkamercommissie Wassenaar, Voorschoten, Oegstgeest en Leidschendam-Voorburg

Reglement Verantwoord Netwerkgebruik voor Studenten van ROC TOP (Acceptable use policy)

ICT Beveiliging DO s en DON Ts

Procedure Meldplicht Datalekken

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Privacyverklaring Princenhaags museum

FAQ - Veelgestelde Vragen. Over het incident

Abuse & acceptable use policy

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Preventiefolder Zakelijke dienstverlening

Privacy statement Alarm Control Nederland (ACN)

GEBRUIKERSVOORWAARDEN

Algemene Voorwaarden Mijn VKB

Privacy statement Wat zijn persoonsgegevens? Bijzondere persoonsgegevens Van wie verwerkt Stichting Welzijn Bergen persoonsgegevens?

Gedragsregels. Correct omgaan met informatie over patiënten en medewerkers en eigendommen van het Maasstad Ziekenhuis

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy

Hoe kunt u helpen bij informatiebeveiliging en privacy?

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

ISO 27001:2013 Informatiebeveiligingsbeleid extern

PRIVACY BELEID. Hoofdstuk 1 worden de algemene privacy bepalingen toegelicht die van toepassing zijn op Service Bioscoop Hollywoud.

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Dit is het privacybeleid van Easy Fit B.V., gevestigd aan Faradaystraat 11, 2014 EN in Haarlem (hierna: Easy Fit, Easy in Shape, we, wij of ons ).

Privacybeleid NFIR B.V.

Privacystatement persoonsgegevens

Privacyverklaring. Wat is privacy? Het recht om met rust gelaten te worden. Het recht gegevens over jezelf te controleren

Privacyverklaring. Contactgegevens. Persoonsgegevens die wij verwerken

Onderzoeksrapport. Kwetbaarheden in ICT

Bemmel Container Service b.v. PRIVACY VERKLARING VERSIE 1, 25 mei 2018

wat te doen wat niet te doen valkuilen wat moet u rapporteren hoe blijft u overtuigend

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Integriteitshotline FAQ s

Bent u een onderneming 1.0 of 2.0? Doe de test en ontdek uw resultaten!

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY.

Privacyverklaring Xorandi

Jan van t Ende is de Functionaris Gegevensbescherming van Relinde.com. Hij is te bereiken via

Beleid en procedures meldpunt datalekken

Algemene Voorwaarden Mijn Delta Lloyd XY

ISYTEC BV Privacybeleid Versie

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

B2BE Data Processing Overeenkomst 1. DEFINITIES

BLAD GEMEENSCHAPPELIJKE REGELING

Privacy een ICT-ding? Juist niet!

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

Privacy Verklaring. Ik, Priscilla Vreugdenhil Loopbaanadvies & Coaching, vind jouw privacy net zo belangrijk als jij. Daarom doe ik er alles

Mobiele medewerkers vrijheid geven zonder uw gegevens in gevaar te brengen

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt?

Microsoft stop met de ondersteuning van Windows XP

Gedragscode Zehnder Group Ltd

Privacy Policy Per 1 mei 2018

Privacy in de eerstelijnspraktijk Checklist & tips

Bijzondere en/of gevoelige persoonsgegevens die wij verwerken

Impact van de meldplicht datalekken

Hoe EMM u helpt bij de naleving van de algemene verordening gegevensbescherming

Versie : Utrecht,

Audit: Beveiliging Digitale Examens

Privacyverklaring. Rekenkamercommissie Hillegom, Lisse en Noordwijkerhout

PRIVACY STATEMENT. Versie

Jorrit Blanksma is de Functionaris Gegevensbescherming van YOfoto. Hij/zij is te bereiken via

PostNL Business Principles

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Gegevensverzameling en gegevensverwerking

PRIVACY & COOKIE BELEID B.V. VENDU NOTARISHUIS

Privacyverklaring. Rachel Levi is de Functionaris Gegevensbescherming van Huis van Verbeelding Zij is te bereiken via

Privacyverklaring. Deze Privacyverklaring bestaat uit de volgende onderdelen:

Privacyverklaring. Versie: 1.02 Datum:

Bij Creative Event Organization doen we ons uiterste best ervoor te zorgen dat uw persoonsgegevens beveiligd zijn en nooit worden misbruikt.

Privacyverklaring. Zuidelijke Rekenkamer

Algemene Voorwaarden Elektronische Diensten Delta Lloyd XY

Privacy- en cookieverklaring

Beveiligingsbeleid Stichting Kennisnet

Hoe fysiek is informatiebeveiliging?

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

PRIVACY STATEMENT. Gegevens van klanten worden geregistreerd met als doel:

In deze privacyverklaring vindt u algemene informatie over hoe wij met uw persoonsgegevens omgaan.

Kennissessie Information Security

Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1-

Bijlage 2: Communicatie beveiligingsincidenten

Doel van de opleiding informatieveiligheid

Besluit informatiebeheer Peelgemeenten 2017

QRS HealthCare bvba Zoerselbaan 1A 2390 Malle T 03/ F 03/ E W PRIVACYVERKLARING

Privacy verklaring Creactor

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT

Privacyverklaring. Voor: iedereen status : definitief. 23 november 2018

Stappenplan naar GDPR compliance

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid extern

Code of Conduct (Nederlandse versie)

LOKO kijkt continu vooruit zodat ICT voor u blijft werken

Privacyverklaring. Gegevens van Chrissie Sewalt Photography Chrissie Sewalt Brugwachter MC Elst

Persoonsgegevens die wij verwerken

Overige persoonsgegevens die u actief verstrekt bijvoorbeeld in correspondentie en telefonisch;

Privacybeleid Versie

Privacyreglement Top Support Dakwerken v.o.f.

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

Richtlijn 1 Gebruik ICT-faciliteiten Zorggroep Synchroon

Transcriptie:

De status van USB-schijfbeveiliging in Nederland Gesponsord door Kingston Technology Onafhankelijk uitgevoerd door Ponemon Institute LLC Publicatiedatum: November 2011 Ponemon Institute Onderzoeksrapport

De status van USB-schijfbeveiliging in Nederland Ponemon Institute, November 2011 Inleiding Gesponsord door Kingston Technology, Ponemon Institute presenteert met genoegen de resultaten van de situatie van USB-schijfbeveiliging in Nederland. Dit onderzoek is gericht op het beter begrijpen hoe complex bedrijven en overheidsorganisaties de eisen met betrekking tot de veiligheid en de privacy van gegevens beheren die op USB-schijven geplaatst en bewaard worden. We zijn van mening dat de les die uit het onderzoek geleerd moet worden, is dat organisaties wel degelijk weten dat ze risico's lopen als gevolg van onachtzaamheid door medewerkers, maar vaak niet de nodige stappen ondernemen om USB-schijven te beveiligen. Ons onderzoek heeft ook uitgewezen dat ook al kunnen deze apparaten klein zijn, dat het schenden van informatiebeveiliging als gevolg van zoekgeraakte of gestolen USB-apparaten enorm kan zijn. Ongeveer 62 procent van de respondenten zegt dat het schenden van informatiebeveiliging was veroorzaakt door gevoelige of vertrouwelijke informatie die op een zoekgeraakte USB-schijf stond. De volgende 10 maatregelen zijn maatregelen ten aanzien van USB-beveiliging die veel organisatie in dit onderzoek niet treffen: 1. Voorzie medewerkers van goedgekeurde USB-schijven voor gebruik op de werklocatie. 2. Stel beleid en opleidingsprogramma's op waarin acceptabel en onacceptabel gebruik van USB-schijven gedefinieerd wordt. 3. Zorg ervoor dat medewerkers die toegang hebben tot gevoelige en vertrouwelijke informatie alleen gebruikmaken van veilige USB-schijven. 4. Stel voor aankoop de betrouwbaarheid en integriteit van een USB-schijf vast door toonaangevende beveiligingsstandaarden te hanteren en ervoor te zorgen dat er op deze hulpmiddelen geen kwaadaardige software aanwezig is. 5. Pas codering toe op gegevens die op de USB-schijf zijn opgeslagen. 6. Zorg ervoor dat USB-schijven als onderdeel van configuratiebeheer altijd gemonitord en gelokaliseerd kunnen worden. 7. Scan de apparaten op virussen en kwaadaardige code. 8. Maak gebruik van wachtwoorden of vergrendeling. 9. Codeer gevoelige gegevens die op USB-schijven staan opgeslagen. 10. Zorg ervoor procedures te hebben om zoekgeraakte USB-schijven weer terug te krijgen. We hebben in Nederland 453 ICT-medewerkers uit de praktijk geïnterviewd die gemiddeld bijna 12 jaar in de ICT werkzaam zijn of ervaring hebben op het gebied van ICT-beveiliging. De meeste respondenten (56 procent) leggen verantwoording af aan het hoofd informatiebeveiliging (CIO) en 54 procent van hen werken op het niveau van supervisor of hoger binnen hun organisaties. Tachtig procent van deze respondenten onderkennen dat het zeer belangrijk of belangrijk is dat USB-schijven voldoen aan de hoge normen voor gegevensbeveiliging. In het volgende hoofdstuk staan de belangrijkste bevindingen van ons onafhankelijk uitgevoerde onderzoek. Alles bij elkaar opgeteld, leveren onze resultaten sterk bewijs dat organisaties onvoldoende maatregelen treffen tegen de mogelijke risico's met betrekking tot gegevensbescherming en -beveiliging door de ondoordachtheid en onveiligheid van de USBschijven die in veel organisaties gebruikt worden. In veel van de onderzoeksvragen mochten meerdere antwoorden gegeven worden. Als gevolg daarvan is de vermelding van het aantal antwoorden in de belangrijkste bevindingen in totaal meer dan 100 procent. Ponemon Institute Onderzoeksrapport Pagina 1

Belangrijkste bevindingen Veel organisaties vinden de beveiliging van USB-schijven belangrijk, maar daarvoor is de juiste techniek nodig. Vijfenvijftig procent van de respondenten zijn het er over eens dat hun organisaties de bescherming van vertrouwelijke en gevoelige informatie die verzameld wordt en tijdelijk op een USB-schijf opgeslagen wordt, zeer belangrijk.. Hoewel 54 procent van de respondenten het er over eens zijn dat hun organisaties beschikken over voldoende beleids procedures, controlemiddelen en maatregelen om het misbruik van USBschijven te stoppen of te reduceren, geeft slechts 31 procent aan over de juiste techniek te beschikken om het downloaden van vertrouwelijke of gevoelige informative op USB-schijven door onbevoegden te voorkomen of tijdig te ontdekken. Tweeënveertig procent geeft aan dat hun organisatie over de juiste technieken beschikt om virussen en andere kwaadaardige software die op de USB-schijf terecht kunnen komen of staan, te voorkomen of tijdig te ontdekken. Medewerkers zijn onachtzaam in het gebruik van USB-schijven en dit brengt de gevoelige of vertrouwelijke gegevens van organisaties in gevaar. Medewerkers doen het volgende continu of zeer regelmatig: Ze gebruiken USB-schijven zonder daarvoor vooraf goedkeuring te krijgen om dat te mogen doen (68 procent) of raken USB-schijven kwijt zonder daarvan melding te maken bij de juiste persoon of afdeling (53 procent). Een zeer positieve bevinding is dat 61 procent van de respondenten aangeeft dat hun organisaties hun werknemers voorzien van goedgekeurde USB-schijven voor gebruik op de werklocatie en dat slechts 26 procent aangeeft dat medewerkers continu of veelvuldig gebruikmaken van generieke USB-schijven die men "gratis" heeft gekregen tijdens conferenties, vakbeurzen en andere evenementen. Veel organisaties hebben een uitvoerbaar beleid waarin acceptabel gebruik van USBschijven gedefinieerd staat en ze zien toe op de uitvoering van dit beleid. Zesenzeventig procent van de respondenten geeft aan dat hun organisaties beschikken over een beleid ten aanzien van USB-beveiliging. Van deze organisaties met beleid geeft 64 procent aan van hun medewerkers die toegang moeten hebben tot gevoelige en vertrouwelijke gegevens, te eisen daarvoor veilige USB-schijven te gebruiken. Om te kunnen voldoen aan de conformiteitseisen geeft 56 procent aan dat hun organisaties vertrouwen op willekeurige inspecties en 41 procent geeft aan software te gebruiken met netwerkintelligentie. Organisaties hanteren dezelfde criteria voor de keuze van USB-schijven en andere geheugenapparaten of opslagtechniek. De top twee criteria voor de aanschaf van USBschijven en andere geheugenapparatuur of opslagtechnieken zijn: beveiligingscertificering en testen en het vermogen om aanvallen van schadelijke software, botnet en virussen te voorkomen. Om de betrouwbaarheid en integriteit van USB-schijven te kunnen beoordelen hanteert 57 procent van de organisaties voor aanschaf de normering van toonaangevende beveiligingsstandaarden, en 36 procent test om er zeker van te zijn dat de gegevens op het apparaat niet kwaadaardig zijn. Organisaties vertrouwen het meeste op training/bewustwording en de strikte toepassing van het beleid om USB-schijven die niet voldoen aan de kwaliteitscriteria, uit handen van medewerkers te houden. Het gebruik van USB-schijven in organisaties is gangbaar en de meeste ervan zijn niet veilig. Op basis van de bevindingen worden er gemiddeld 43.105 USB-schijven gebruikt door medewerkers binnen de organisaties die in dit onderzoek vertegenwoordigd zijn. De respondenten geloven dat gemiddeld 63 procent van deze apparaten veilig is. De meest gebruikelijke vormen van gevoelige of vertrouwelijke informatie op een USB-schijf zijn: intellectuele eigendommen gevolgd door klantgegevens en niet-financiële, vertrouwelijke documenten. Ponemon Institute Onderzoeksrapport Pagina 2

De apparaten mogen dan wel klein zijn, de gevolgen van zoekgeraakte USB-schijven kunnen ten aanzien van het openbaar worden van deze gegevens verwoestend zijn. De meerderheid van de respondenten (62 procent) in dit onderzoek geeft aan absoluut zeker te zijn (23 procent) of er van overtuigd te zijn (39 procent) dat de schending van de informatiebeveiliging naar alle waarschijnlijkheid het gevolg was van het kwijtraken van een USB-schijf met daarop gevoelige en/of vertrouwelijke informatie. In de afgelopen 24 maanden hebben gemiddeld 4,3 afzonderlijke incidenten binnen de organisaties van dit onderzoek betrekking op het zoekraken van gevoelige en/of vertrouwelijke informatie die op een zoekgeraakte USB-schijf stond. Achtentwintig procent van de respondenten geloven met grote zekerheid of waarschijnlijkheid dat op deze schijven gegevens van een klant, een consument of een medewerker stonden. De onachtzaamheid van eindgebruikers is, in tegenstelling tot kwaadaardigheid, in de meeste gevallen de oorzaak van zoekgeraakte USB-schijven. Gemiddeld wordt 62 procent van alle zoekgeraakte USB-schijven veroorzaakt door onachtzaamheid, in plaats van fraude, diefstal of andere kwaadaardige activiteiten. Op basis van deze bevindingen zouden opleidingsen bewustwordingsprogramma's en het opstellen van beleid de eerste stappen moeten zijn die organisatie zouden moeten nemen om de beveiliging van gegevens op USB-apparaten te verbeteren. Conclusie USB-schijven zijn een onmisbare techniek voor medewerkers in alle organisaties. Zoals dit onderzoek uitwijst, vormen zoekgeraakte of gestolen USB-schijven een groot risico voor de meest gevoelige en vertrouwelijke informatie van een organisatie. Hoewel organisaties de noodzaak inzien om proactiever te worden om ervoor te zorgen dat medewerkers niet onachtzaam zijn, blijkt in de praktijk de beveiliging van gegevens op USB-apparaten nog geen deel uit te maken van hun overkoepelende strategie voor informatiebeveiliging. In de inleiding van dit rapport staan 10 maatregelen voor het beveiligen van informatie op USBapparaten die organisaties zouden kunnen treffen maar veel van deze organisaties niet doen. Het goede nieuws is echter dat 55 procent van de respondenten het er over eens is dat hun organisaties de bescherming van vertrouwelijke en gevoelige informatie die verzameld wordt en tijdelijk op USB-schijven wordt opgeslagen, als zeer belangrijk ziet. Het doel dat in dit onderzoek naar voren komt is om aan te tonen dat het gebruik van USBschijven onbelangrijk lijkt, maar dat de consequenties van een zoekgeraakte of gestolen USBschijf met betrekking tot de beveiliging van de informatie daarop desastreus kunnen zijn. Ongeveer 62 procent van de respondenten in dit onderzoek geeft aan absoluut zeker te weten of ervan overtuigd te zijn dat een schending van de informatiebeveiliging binnen hun organisatie het gevolg was van een zoekgeraakte of gestolen USB-schijf met daarop gevoelige en/of vertrouwelijke informatie. Gemiddeld zijn organisaties in ons onderzoek in de afgelopen 24 maanden meer dan 11.608 registraties over klanten, consumenten of medewerkers zoekgeraakt die op USB-schijven stonden. Op basis van Ponemon Institute's onderzoek in 2010 naar de jaarlijkse kosten van schending van gegevensbeveiliging, "kunnen de financiële gevolgen van schending van informatiebeveiliging als gevolg van zoekgeraakte of gesloten informatie enorm zijn, waarmee de noodzaak tot het opstellen van beleid, procedures en opleidingsprogramma's ter vermindering van de kans op schending van informatiebeveiliging van gegevens op USB-schijven overtuigend genoeg is.". Ponemon Institute Onderzoeksrapport Pagina 3

Ponemon Institute Het bevorderen van verantwoord informatiebeheer Ponemon Institute zet zich in voor onafhankelijk onderzoek en opleiding ter bevordering van verantwoord beheer van informatie en vertrouwelijkheid in de praktijk binnen bedrijven en overheidsinstanties. Onze missie is het doen van kwalitatieve, empirische onderzoeken naar belangrijke kwesties die van invloed zijn op het beheer en de beveiliging van gevoelige informatie over mensen en organisaties. Als lid van de Council of American Survey Research Organizations (CASRO), hanteren wij strikte normen op het gebied van vertrouwelijkheid van gegevens, de privacy en ethische onderzoeksmethoden. We verzamelen geen persoonlijk identificeerbare informatie van personen (of bedrijfsidentificeerbare informatie) tijdens onze onderzoeken. Daarnaast hanteren wij strikte kwaliteitsnormen om ervoor te zorgen dat de respondenten geen vreemde, irrelevante of ongepaste vragen voorgelegd krijgen. Ponemon Institute Onderzoeksrapport Pagina 4

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback